第一篇:证券行业信息系统安全检查经验谈
证券行业信息系统安全检查经验谈
今年以来,我国股市接连受到重挫,造成了部分股民的不满,同时也出现了针对证券公司进行网络攻击的恶性事件。因此,证监会组织了对全国证券业的安全大检查。笔者因为工作原因,参与并负责了几个大型证券公司的安全检查。检查的从体情况来看,有喜有忧。喜的是证券业前几年行情不好,一直没有资金进行充分的IT基础建设,造成IT建设欠债太多,但最近两年已经迎头赶上,并且证券业创新产品层出不穷。忧的是这两年券商的IT部门一直被赶着做事情,又造成对信息安全问题重视不够,出现了很多新的风险,尤其在当前股市震荡的情况下,威胁越来越大。它山之石可以攻玉,对于各个行业的安全管理员来说,保障信息安全是一个任重而道远的工作。本文基于在证券业安全问题上的一些经验和思考,希望也能够给其他行业的安全管理员提供帮助。
整个安全大检查从几个方面进行了审查,包括网站安全、物理安全、网络安全、系统安全和管理安全。
一、网站安全
证监会组织了人手对所有券商的网站进行了渗透测试(模拟黑客攻击的方法对网站攻击,但不做破坏性举动),虽然最后证监会没有公布网站渗透测试的结果,但就笔者负责的4个券商安全检查来看,全部都被攻陷,被攻陷的方法全都是sql注入,并且还发现了源代码泄露、跨站漏洞等问题。所幸的是,经过检查,没有发现这几个网站被人入侵过或者有什么远程后门。总的来看,大家对安全补丁、系统自身的加固都很重视,没发现什么明显疏忽,但是在WEB的安全编程上还做得远远不够。究其原因,由于券商自身不具备网站开发能力,网站开发都是外包来做,而外包公司在程序的代码审核上做的远远不够,代码中可能的漏洞有溢出漏洞、跨站脚本漏洞、SQL注入漏洞等,还有一些因为程序设计不周到而导致的信息泄露问题也应该得到重视,这些漏洞本身可能没什么大的威胁,但非常有助于攻击者利用其他漏洞进行攻击。当前总体的网络安全状态是基于操作系统本身漏洞的入侵已经没有大的增加,而由于应用系统的复杂性和特异性,基于应用的入侵已大幅度增加,所以在这方面还有许多需要加强的工作。
从证券业的网站安全来看,入侵甚至在C盘根目录上写入文件,都不是什么难事。笔者在其他一些行业的评估中,也发现同样问题的存在,并且今年的安全形势报告中也提到,仅在5月份,全国就有12万网站受到sql注入式的攻击。因此可见,面对新型的攻击手段,安全部门响应速度迟缓。网站是一个企业的门面,如果网站被篡改,带来的负面影响会很大,加强网站的安全防护,应是当务之急。
二、物理安全
物理安全作为信息安全的基础,在整个信息安全体系建设中扮演着非常重要的作用,而物理安全的好坏直接影响到网络安全、系统安全和安全管理等等层面。对于券商来说,机房是生产的核心工具,这几年来,管理层对此也不断提出要求,目前看来,硬件环境已经比较可靠,空调、湿度控制、防火、区域标识等相对完善,但与之相对应的软件环境却不甚乐观。比如普遍存在的:
2.1 环境
机房进出控制等级没有严格执行,流于形式;
门禁系统虽有,但时常进出没有随手关门;
进出人员所做重大操作没有记录;
第三方人员进入机房没有明显的可视标识,不能立即识别出无人护送的访问者和未佩戴可视标识的人。
2.2 设备
网络设备、主机设备没有有效的标记措施,对资产的界定不清晰;
重要的主机设备没有防盗报警措施;
由于券商在不断地上新项目,经常需要调整网络,网线和电缆的普遍走线比较乱,很多网线、电缆都没有可识别的记号。
2.3 介质
对移动存储设备没有实行有效管理,各服务器的USB口都是开放状态。
没有对移动存储设备上的敏感数据彻底删除或安全重写。
这些问题在很多公司机房都普遍存在,甚至比证券业要差很多。安全不仅仅是网络安全,更是一个整体的木桶,任何的短板都会导致前功尽弃,加强对物理环境的管控应是踏踏实实要做好的事情,这种管控也不仅仅是在硬环境上,更重要的还在软环境上。
三、网络安全
近年来证券整体行业效益不错,因此在网络上投入很大,起点较高,并且由于券商大多数都是跨地域的,整个IP地址的规划也都比较合理,具有连续性,能够与网络拓扑层次结构相适应,便于进行管理。作为网络建设重要规范性之一的可靠性建设也受到很大重视,针对故障恢复、承载能力以及安全配置均充分考虑了关键网络设备和重要链路的可靠性建设:通过交换机之间Trunk互联和专用负载均衡设备,实现动态的冗余热备和流量分担,有效提高了网络的可靠性和可用性。对于重要的主机设备同样部署了完善的链路和设备双备份,通过双归属方式的互联和采用主备设备的方式,可确保一旦出现问题可以实现快速的切换,把对业务的不利影响降低。同时在交换机上根据业务的需要划分了相应的VLAN,通过二层隔离有效杜绝了蠕虫病毒的扩散和广播、组播数据流的防洪,提高了网络的安全和承载效率,确保网络系统具有了良好的扩展性和健壮性。
但是安全问题也总是伴随着网络建设而来,创新业务不断出现也要求对外的接口越来越多,例如对各个银行、上交所、深交所的接口。在出口很多的问题下需要认真对待各出口的分界线控制,这方面,已经有很多机构提出了安全域架构的方法,在实践中也取得了认可。
再有就是对网络保密的情况考虑不足,在这方面银行走在了前面,对链路都是由加密机来加密。券商对此尚没有顾及,关键的业务数据在传输时zheng没有加密手段,可能被监听泄露。据笔者和各信息部门老总交流的情况看,也并不是没有考虑,他们担心加密以后对网络的实时性造成影响,而且券商内跑的应用很多,业务系统与加密机的配合会不会出问题,再者,券商的网络多是专线连接,被窃听的可能并不很大。我承认,老总们的担忧很有道理,在现有技术情况下,如何进行无障碍的链路加密?这也是咱们国内的安全厂家应该去深入研究的课题。
还有一方面就是对网络的管理:目前的网络设备基本都具备日志功能,但是由于人手不足,业务繁忙,管理粗放都很多原因,并没有人去定期核查这些日志信息,也没有专用终端记录处理日志,这会造成即使已经被攻击了,管理人员仍然不知道。并且在网络管理上没有指定专用终端操作,为了方便很多机器都可以连上去更改配置。
四、系统安全
券商核心业务系统多是LINUX、HP-UX等,这些系统流行面较窄,精通该类系统的人不多,且由于系统的不兼容性使得受攻击的可能性大大降低。但同时,也由于大家都不精通,系统上发现的一些已知的安全补丁都没打,不是不知道安全漏洞,而是因为不敢做,做了以后会对应用产生什么样的影响大家都不知道。这种情况在很多行业都存在,比如近期我接触过的一个煤矿有个瓦斯监控系统,1分钟都不能停。这种形势下,就要求对核心生产设备做足够的外围安全防护。
还有一个老生常谈的话题就是口令安全,网络设备口令、操作系统口令、应用系统口令、数据库口令等等,实际对口令的管理和要求始终会有差别。在调研中,我们也和老总们谈过,大家都说:我们都知道口令的管理,也知道怎么加强,但在实际中要考虑证券公司的特殊性,例如报盘系统登陆易所,20多个席位要登录,有一次系统意外重启,我们每个席位口令都很长,够复杂,结果手忙脚乱地往里面登录,一边看一边敲,敲错了还要重来,最后都搞好,半个小时过去了,所以这种安全手段在证券公司没法考虑的。
非核心业务的其他终端设备受系统升级和疏于管理等问题,普遍存在着非常多的高风险漏洞,甚至包括操作系统级的弱口令。不过目前对证券业来说,基本都做到了业务的主辅分离,所以威胁有,但不是很大。既便如此,非核心系统也应给以更多的关注。
五、安全管理
三分技术七分管理,技术是实现的手段,真正要想做到安全,管理上一定要下很大的功夫。
5.1安全策略
相关的管理制度各个券商都有不少,而且也在不断完善修订。但从整个制度规范颁布后执行情况来看,其效果并不是很好,主要问题表现在:可操作性差,甚至很多条款没有奖惩措施,这样可能导致员工很难理解或记住这些管理性要求,最终执行不起来;针对性差,一份安全管理制度汇编针对了全公司的信息技术人员,不能有效的区分管理角色和对象,从而最终导致制度面太广而无法实施;某些安全要求深度不够,导致在某些方面的安全管理执行力度不够;由于很多安全制度并没有被太多的人认可和执行,因此就无法对公布的制度进行回顾审计,检查和修改其中不合适的地方。
还存在着另一个普遍问题,缺乏一套高层的安全策略体系来指导安全管理,最终导致安全工作难以条理化,一方面会造成部分工作的遗漏,另一方面会出现重叠,甚至会出现哪出问题哪出制度的被动局面。安全策略应该建立比较明确、全面的安全规范要求,并确定各策略的制定、维护、变更等管理方面的策略。安全管理制度是建立在公司统一安全策略的基础之上,为公司推行统一的安全要求的一种形式。没有安全策略指导的安全管理制度只能是片面性,可操作性差、难以推广和执行。
5.2安全组织
在安全组织上,各券商都比较重视,都实现了“统一领导,分布管理”的安全管理体系,建立了安全管理岗位,建立了信息技术人员的岗位职责。在这次检查结束之后,证监会也发布了行业的IT治理指引,明确了安全组织的要求。
5.3资产分类与控制
随着业务资产的不断增加,很多安全管理问题均归到了资产管理问题上。但是,很多人还没有意识到资产分类控制的重要性,没有对公司内部对公司资产进行整理。存在如下问题:
1.没有对所有业务应用系统及资产设备进行安全属性定义,没有明确需要较高安全保护等级的系统和设备,因此很难提高管理人员的安全重视程度;
2.缺乏一套对资产管理清单的维护审计机制,没有专人负责对新增设备、变更设备等管理信息进行及时更新,导致很多安全事件由此产生;
3.缺乏一套对资产变更、系统变更的审计机制,管理人员对较大的变更情况不做记录,在后期可能会造成很多不必要的麻烦;
4.缺乏对设备的保管、使用登记和报废方面的管理,对重要的设备只有出了事故以后才进行保养和维护,而且没有建立维护记录。
5.对各种技术资产及业务资料没有实现密级管理,很多机密资料的借阅、复制、打印、销毁等方面的管理制度很不完善,执行更不严格。部分员工安全意识较差,所有的技术资料放到办公桌上,很容易被第三方合法进入公司的人进行翻阅查看。
5.4人员安全
券商在安全岗位建设方面普遍非常重视,建立了技术岗位职责,对各技术岗位有相应的岗位说明。在系统管理方面根据不同的业务应用系统设置了不同数量的系统管理员,他们在保证应用系统的正常运行的同时,也身兼对这些主机的安全管理。由于各种安全事件发生后可能的影响面巨大,也都明确了安全事件发生后的快速报告流程。
尽管如此,在人员安全上,存在着较多的问题:
1.内部系统管理岗位人员不足,很多系统管理员负责多个重要的应用系统,过多的工作量很可能造成操作失误情况,更容易造成安全管理的疏忽;
2.内部安全管理岗位人力不足,由于券商组织结构和信息网络的庞大性特点,安全管理员不能全权、有效地形成对整个公司自上到下、自本部门至全公司的安全管理;
3.没有将公司资产的安全管理责任定义到个人,特别是普通员工办公机的安全性,很多安全事件的发生不能明确责任,入职说明岗位也没有定义管理员的责任和义务,因此不利于促进和推动安全管理工作的执行;
4.管理员岗位权职不明确,有些工作交叉的任务经常被互相推卸,管理员的权限没有实现“权限最小化”原则,也没有对这些权限较高管理员的审核,使得内部管理员滥用授权的隐患时刻存在;、5.很多员工技术能力有限,某些技术故障和安全事件的发生可能是由于操作失误造成的,而提供对信息技术人员进行安全技术培训的机会较少,也没有技术或任职资格考试的督促机制,使得内部员工安全意识较差,从而造成安全事故的可能性增大;
6.对信息的保密重视不足,在信息技术人员应聘进公司时签订的合同中没有安全保密条款,尤其是没有针对某些涉密较高岗位制定具体的保密协议。
7.在信息技术人员办理离岗手续方面缺乏明确的制度和流程
8.没有明确的安全管理员和安全审计员角色,所以对网络和系统的管理员所设定的访问权限及日常行为没有进行过安全审计。
5.5物理环境安全
机房的建设都有标准化的规范,物理环境也大都符合相关安全要求,机房具有防火、防水、防雷等设备,并均采用双路供电,配备了UPS电源。在非本公司员工进入机房时,要求进行出入登记记录,操作记录。
但在机房管理方面还存在以下的问题:
1.中心机房有电子门禁系统,但有时没有做到进出时马上关门。
2.机房没有设置保安管理制度。
3.机房的出入管理不严格,没有严格执行非工作人员必须经过安全责任人许可才可以进入机房的管理规定。
4.机柜和主机没有要求在运行中上锁,以防止外来人员误操作,对主机没有采取对输入输出设备的控制。
5.6通信与操作安全
证监会要求关键业务有备份链路,对各种网络设备的配置数据、用户数据进行定期备份。各券商做的都很好。但在管理过程中,还存在以下的问题:
1.技术维护人员没有定期对重要服务器和路由器以及防火墙等设备的安全配置、CPU、内存占用率等进行审计和检查
2.主要的网络设备和主机均没有定期维护制度
3.对网络设备和主机的远程管理没有使用固定的管理终端。
4.目前没有对系统进行定期的安全漏洞扫描工作,某些主机考虑到影响业务原因没有定期对系统的补丁进行修补和加固。
六、总结
6.1安全意识
针对证券行业信息系统网络现状而言,由于发展较快,网络规模较大,对信息系统安全很高,系统的安全状况应成为企业网络关注的重点。在把资金都投在了应用系统建设的同时,不能忽视了信息安全保障投资。在员工的安全意识方面,没有建立长期、系统、有效的安全意识、专业素质、安全管理、服务水平的培训。同时,在责任划分上不够明确,缺乏奖惩机制。因此,提高领导、员工的安全意识是当务之急。
6.2整体安全方案
各券商在安全方面,也投入了一些设备,但总的来说,安全思路仍需拓宽。比如在渗透测试中普遍发现的问题。在防火墙的设置上,也有不足。口令安全、配置安全上的工作也不够完善。没有定期分析日志发现异常,安全制度不完善,如此等等。说到底就是缺乏一套整体安全方案,一个没有整体安全规划的系统,安全是肯定没有保障的。
6.3系统安全
主要是没有安全地安装配置、用户和目录权限设置及建立适当的安全策略等系统安全处理加固。例如:没有打安全补丁、安装时为方便使用简单口令、默认口令,而后来又不更改、没有进行适当的目录和文件权限设置、没有进行适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检测等等。事实上系统和应用大多是由系统集成商来完成的,但系统集成商的做法往往是最大化安装,以方便安装调试,把整个系统调通就算完成了任务,会留下很多的安全隐患;而安全却恰恰相反,遵循最小化原则,要求没必要的东西一定不要,有必要的也要严加限制使用。这和系统集成好像构成了一个矛盾,事实上却不是,最小化原则实际上降低了系统负荷、提高了应用系统的性能,增强了安全性,而问题在于大多数集成商不具备专业安全设计和防范能力。
6.4安全管理机制
安全和管理是分不开的,即便有好的安全设备和系统,没有一套好的安全管理方法并贯彻实施,值得注意的是这里强调的不仅要有安全管理方法,而且还要贯彻实施,否则安全就是空谈。安全管理的目的在于两点:一是最大程度地保护网络,使得其安全地运行,再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度,并严格贯彻执行,与奖惩制度的联动是非常必要的。
6.5动态安全
在这次安全大检查以后,经过专业网络安全设计整改,即进行了安全网络拓朴和路由、安全网络系统设计、安全产品防护、安全系统处理和整体安全检测等安全处理后,系统的安全是有保障的。但需要指出的是安全是相对的,因为随着操作系统和应用系统漏洞的不断发现以及口令很久没有更改等情况的发生,整个系统的安全性就受到了威胁,这时候若不及时进行打安全补丁或更换口令就很可能被一直在企图入侵却未能成功的黑客轻易攻破。所以,安全是相对的,是动态的,只有及时对系统安全问题进行跟踪解决,定期整体安全评估,及时发现问题并解决,才能确保系统具有良好的安全性。
6.6人才培养
在这次检查中,我们也注意到,绝大部分的主机、网络情况都只有个别人了解。这与证券业迅猛发展的信息技术规模是不相适应的。券商也应在下一步的工作中,积极发掘、培养安全方向上的专业人才,注重培训和锻炼,同时也应尽力保证人才的稳定性。
第二篇:2012信息系统安全检查工作报告
附件2:
2012信息系统安全检查工作报告
一、信息安全状况总体评价
概述本单位信息安全工作情况,与上一相比信息安全工作取得的新进展,对本单位信息安全状况的总体评价。
二、2012年信息安全检查情况
对照2012信息系统安全检查表,逐项描述本单位2012年在信息安全组织管理、日常管理、安全防护、应急管理、教育培训、安全检查等方面开展的工作情况。
三、检查发现的主要问题及整改情况
(一)存在主要问题及其原因
描述安全检查特别是技术检测发现的主要问题和薄弱环节,分析其存在原因。
(二)下一步工作打算
针对检查发现的问题提出整改计划或整改措施。
四、对信息安全工作的意见和建议
对信息安全工作特别是信息安全检查工作提出意见和建议。
第三篇:信息系统安全检查自查报告
信息系统安全检查自查报告 省局信息中心:
按照总局《国家税务总局关于开展税务信息系统安全检查工作的通知》(国税函„2011‟397号)及《吉林省国家税务局关于开展信息安全检查的通知》(吉国税函„2011‟138号)文件要求,切实加强我市国税系统网络与信息安全管理工作,严防黑客攻击、网络中断、病毒传播、信息失窃密,为税收工作创造良好的网络信息环境,现就我市国税系统信息安全自查情况汇报如下:
一、加强领导、明确职责
为进一步加强全局网络信息系统安全管理工作,市局成立了税收信息安全领导小组,主要领导亲自挂帅,主管领导具体负责,信息中心直接组织实施,其他科室配合实施。形成了主要领导亲自抓,分管领导具体抓,一级抓一级,层层抓落实的工作格局。市局同时成立信息系统安全检查组(以下简称检查组),在市局信息安全领导小组直接领导下负责此次检查工作的具体实施。
信息安全检查领导小组根据总局的检查方案,结合本局实际情况,及时研究部署,提出实施原则和指导意见,为检查组下一步分解落实检查任务,对全局各单位实施有效检查,顺利完成此次信息系统安全检查组织保证;检查组成员分工明确、责任到人,确保本局的信息安全,为本局信息系统安全建设更上一个新的台阶奠定了良好的基础。
二、实施周密、严格要求
(一)市局检查组根据信息安全检查领导小组的指导意见和总局的检查方案,拟定出本局此次信息安全检查的范围、实施步骤和方法,确立了“培训+自查+交叉检查”的检查模式;
(二)市局信息中心对各单位计算机管理人员进行集中培训,使检查人员每人都掌握自查所要用到的信息技术和自查方法,为自查本单位信息安全隐患提供技术支撑和帮助;
(三)市局为此次信息安全检查提出五项特别要求
一是从文件下发之日起,规定配发的U盘不得用于与办公无关的数据交换,且严禁接入互联网或与本局网络之外的计算机进行相关操作,如确因公需要对外进行数据交换,以及外单位U盘须向本局网内计算机交换数据,在接入本局网络计算机之前须经各单位单独上互联网的计算机先进行杀毒清除木马,确保无毒无木马后方能接入局内网络计算机设备上进行相关操作;
二是移动硬盘只能用于工作上的数据备份与交换,不得接入与互联网相连的计算机上使用,且须经各单位计算机管理员检查无毒无木马后才能重新启用该设备;
三是笔记本电脑确定专人负责,且原则上不得接入市局网络,如确需因公接入,只能通过移动介质传递;
四是非市局配发的计算机类设备严禁接入本局网络使用。
五是各单位如未按上述规定使用计算机设备,由此引起的网络安全事故,按相关规定处理并承担相应责任。
三、自查到位、不留死角
一是各单位检查人员在参加市局组织的检查培训后,迅速实施对本单位的信息安全检查,在规定时间内完成本单位所有计算机设备的安全隐患排查,确保每台计算机无毒无木马程序,同时对计算机实施流行病毒、木马免疫等加固措施;
二是市局信息中心根据总局检查方案,及时完成了对机房、服务器、操作系统等事关全局性的设备、策略、口令管理进行清理、设置、加固,确保全局性的信息安全;
三是市局信息中心对全局计算机设备加强监控,发现安全隐患及时预警,及时处理,把安全隐患控制在萌芽状态;
四是完成全局计算机类设备的清查、登记工作,为我局已经实施的计算机设备“责任到人、机随人走”的管理模式提供了数据保证,同时也确保了上报数据真实可靠。由于这次检查工作时间紧、任务重,根据市局信息安全检查领导小组的工作安排,各单位在8月19日前完成自查,向市局提交自查报告,市局根据自查情况随后对各单位安排交叉检查,所有检查在8月26日前完成。
四、加强管理、提高认识
通过这次总局组织的税务信息系统安全检查,市局将及时总结检查过程出现的问题和新情况,完善相关制度,制定新的管理措施,加强对计算机设备的监管,加大对信息安全的监控力度,强化信息安全意识,实施对涉及信息安全、计算机类设备、信息化建设等方面的安全隐患、不规范操作等在内网上不定期进行通报;为了提高全局干部对信息安全的认识,市局计划在今年年底前开展一次信息安全教育,培训信息安全方面的知识,继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性,树立信息安全责任意识,提高应对可能出现的信息安全事故能力;同时市局信息中心在今后的工作中应加强与省局相关部门的工作衔接,及时从上级部门获得管理、技术、设备等方面的支持,为我局信息化建设工作步入系统内先进行列打下坚实的基础。
二〇一一年八月二十九日
第四篇:信息系统安全检查工作报告
信息系统安全检查工作报告
盐城市第一人民医院信息科
为认真贯彻落实办公室《关于印发盐城市政府信息系统安全检查工作实施方案的通知》文件精神和要求,我科组织人员对全院范围内的信息系统进行了一次全面的自查工作。现将自查情况报告如下:
一.信息安全状况总体评价:
1.领导重视,机构健全。我院信息安全管理工作由分管信息科副院长领导,信息科负责具体执行。
2.制定方案,加强检查。我院使用信息系统作为办公工具已有十余年的历史,在信息安全管理方面已拥有一阵套完善规范合理的信息安全制度。为了保证我院应用系统信息的安全、完整和保密,保证各应用系统稳定、高效运行,我科制定了医院信息中心信息安全管理制度制度、一院内网防病毒制度、一院内网防入侵制度、一院内网接入安全制度、数据备份及服务器应急方案等一系列信息安全规范和制度。
二.信息安全自查情况:
1.我院信息系统采取内外网物理隔离的方式,从根本上了防止医院业务信息系统遭到外部的攻击和窃取,充分保护涉及医院和患者核心利益信息的安全。
2.严格把关接入内网信息流入口。我院所有内网(除信息科)电脑一律拆除光驱软驱等外接存储设备,通过内网管理系统对电脑USB存储接口,无线网卡,上网卡等可能引入外部不安全数据的信息流入口进行堵截。所有需要进入内网的数据一律在信息科确定其安全性后方能存入目标信息终端。
3.按医院各职能科室物理位置和业务需求,制定相应的实用程序白名单,规范内网电脑使用软件的范围,杜绝不安全软件、病毒的启动和传播。
4.按操作者的职务和专业分配使用医院业务系统的权限。医院的各工作人员只能获取与其工作相关和与其职称职务相关的信息,充分保护了医院机密和患者隐私。
5.医院信息终端采取准入制度,各科室增加需院领导审批后才能实施。我科在所有网络交换机上关闭不使用的端口,不加装网络跳线,在实际需要使用时打开指定位置的 交换机端口、安装网络跳线。防止了擅自将自配电脑接入医院局域网的情况发生,保证 了信息科对于医院业务内网的有效控制。
6.全院电脑安装国产专业杀毒软件和内网控制系统,并及时更新病毒库和补丁库,做到操作系统、应用软件、病毒防护软件等的补丁及时升级。全院所有接入医院业务内网的电脑全部下达了程序白名单,外设黑名单等审计策略。
7.建立了完善的信息设备安全监控手段和值班制度。我科定期对软件进行测试,对检测和用户反应的问题进行研究,制定相应的措施,编写相应的补丁,并做好版本的备案。对服务器,杀毒软件,安全策略,系统安全日志,进行定期安全检测保证其在安全的前提下,确保数据传输和信息的安全度。
8.我科已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,明确了应急技术支撑队伍,把信息安全工作做深做细做在前面。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
三.检查发现的主要问题及整改情况
(一)存在的只要问题及其原因
1.医院工作人员较多,信息安全意识总体水平较低,且层次不齐。广大医务工作者工作繁忙,我科多次组织信息安全相关培训,但收效甚为。
2.(二)下一步工作打算
1.加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2.加大网络安全设备的投入。
3.继续加强对医护人员、行政后勤人员的安全意识教育,提高做好信息安全工作的主动性和自觉性。
4.切实增强信息安全制度的落实工作,定期不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
5.是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
6.是要加大对线路、系统等的及时维护和保养,加大更新力度。
7.是要提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和信息系统安全工作。
四.对信息安全工作的意见和建议
第五篇:信息系统安全检查工作报告(医院)
医院信息系统安全检查报告
为认真贯彻落实县政府及卫生局布置工作要求,做好我院“两节”及“十八大”期间安全生产工作,我科组织人员对全院范围内的信息系统工作站进行了一次全面的自查工作。现将自查情况报告如下:
一.信息安全状况总体评价:
1、领导重视,机构健全。我院信息安全管理工作由分管信息科领导,信息科负责具体执行。
2、制定方案,加强检查。我院使用信息系统作为办公工具已有十余年的历史,在信息安全管理方面已拥有一整套完善规范合理的信息安全制度。为了保证我院应用系统信息的安全、完整和保密,保证各应用系统稳定、高效运行,我科制定了医院信息系统安全管理制度、医院内网防病毒制度、数据备份及服务器应急方案等一系列信息安全规范和制度。
二.信息安全自查情况:
1、我院信息系统采取内外网物理隔离的方式,从根本上了防止医院业务信息系统遭到外部的攻击和窃取,充分保护涉及医院和患者信息的安全。
2、严格把关接入内网电脑接口。我院所有内网电脑一律禁止使用U盘、光盘等外接存储设备,所有需要进入内网的数据一律在信息科确定其安全性后方能存入。
3、对医院信息系统各操作员权限进行严格控制。按操作者的职务和专业分配使用医院业务系统的权限。医院的各工作人员只能获取与其工作相关和与其职称职务相关的信息,充分保护了医院机密和患者隐私。
4、全院电脑安装国产专业杀毒软件,并及时更新病毒库,做到病毒防护软件等的补丁及时升级。
5、建立了完善的信息设备安全监控手段和值班制度。我科定期对软件进行测试,对检测和用户反应的问题进行研究,制定相应的措施,并做好版本的备案。对服务器,杀毒软件,安全策略,系统安全日志,进行定期安全检测保证其在安全的前提下,确保数据传输和信息的安全。
6、我科已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,明确了应急技术支撑队伍,把信息安全工作落实到位。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
三.检查发现的主要问题及整改情况
(一)存在的问题及其原因
1、医院工作人员较多,信息安全意识总体水平较低,且层次不齐。广大医务工作者工作繁忙,我科多次对各科室进行信息安全相关培训,但收效甚微。
(二)下一步工作打算
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。继续加强对医护人员、行政后勤人员的安全意识教育,提高做好信息安全工作的主动性和自觉性。
2、加大网络安全设备的投入,购买防病毒及防攻击型网络交换机,进一步加强网络安全。
3、切实增强信息安全制度的落实工作,定期不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
4、是要加大对线路、系统等的及时维护和保养,加大设备更新力度。各科室对本科室电脑设备要爱护和保养,定期擦拭清除电脑显示器、键盘及主机上面的灰尘,保持电脑设备的干净整洁。
点击咨询 